劍橋大學(俄美雙重國籍)心理學教授亞歷山大·科甘(AleksandrKogan)個人與劍橋分析公司合作，于2014年6月開發(fā)應用軟件“這是你的數(shù)字化生活”，并開始為劍橋分析收集數(shù)據(jù)，宣稱是“心理學家用于做研究的APP”，搜集的信息包括用戶的年齡、住址、性別、種族、教育背景、工作經(jīng)歷、人際關系網(wǎng)絡、平時參加何種活動、發(fā)表了什么帖子、閱讀了什么帖子、對什么帖子點過贊等。該軟件以“研究”的名義要求用戶參與一個性格測試，大約27萬人不僅提供了自己的信息還提供了朋友的信息，因此劍橋分析從Facebook用戶及其朋友網(wǎng)絡的個人資料中獲取了大約5000萬私人信息，并涉嫌濫用這些數(shù)據(jù)影響甚至操縱了美國2016年總統(tǒng)競選和英國退歐進程。

由于爆料人是劍橋分析公司的前員工，因此事件引起公眾廣泛關注，英國也已搜查這家公司位于倫敦的辦公室，展開對這家公司的調(diào)查。

雖然本次事件被很多媒體冠以“隱私門”，但客觀地說，深入了解事實來龍去脈之后就不難發(fā)現(xiàn)，這件事并不是臉書公司自己平臺的信息泄密事件，與網(wǎng)絡安全領域常見的技術意義上的數(shù)據(jù)泄露并不相同，也不是網(wǎng)站本身收集信息或產(chǎn)品流程設計層面的差錯。難能可貴的是，身處輿論漩渦之中，臉書CEO扎克伯格已經(jīng)向公眾道歉并承諾改進保護公眾隱私。筆者本文想探討的是，從制度層面加以反思，類似事件預防在法律和監(jiān)管層面有無抓手?從企業(yè)層面來看，又有什么經(jīng)驗教訓?

在筆者2012年底到現(xiàn)在的五年演講培訓當中，一直倡議企業(yè)要有保護網(wǎng)絡個人信息第一責任人的心態(tài)，這倒不僅僅是從法律合規(guī)義務層面的剛性約束，更多還是從產(chǎn)品的用戶體驗以及企業(yè)品牌的用戶忠誠度角度而言考慮的結(jié)果。這次其實臉書算得上屬于“躺著也中槍”——哪怕是第三方軟件欺騙，以及形式上是用戶自己同意導致了數(shù)據(jù)泄露，最終站在風暴中心需要扛起責任來的還是臉書公司自己。

從法律角度來說，臉書公司在本次事件中本身不是直接實施濫用信息行為，涉嫌違法的是劍橋分析公司濫用臉書平臺服務，用研究性軟件名義欺騙用戶收集信息或是收集信息后擅自改變了用途。劍橋分析公司要么是以研究名義收集信息之后擅自改變了用途，未通知用戶，如此則違反收集用戶信息的告知的合同約定涉嫌違約;要么就是以研究名義收集信息，實則使用收集來的用戶個人信息進行商業(yè)性數(shù)據(jù)開發(fā)使用，這就很有可能涉嫌欺詐。

時至今日，此事鬧得沸沸揚揚，筆者訪問劍橋分析公司網(wǎng)站，發(fā)現(xiàn)其宣傳大數(shù)據(jù)精準推薦的廣告宣傳內(nèi)容仍正常可見，映入眼簾第一句宣傳語就是“數(shù)據(jù)驅(qū)動一切”以及“劍橋分析用數(shù)據(jù)改變受眾行為”。它們的業(yè)務分為政治和商業(yè)兩大塊。因此，雖然法律有信息收集必須經(jīng)用戶知情同意不得擅自改變收集信息用途的要求，但臉書公司作為信息平臺在本次事件中似乎也是劍橋分析公司作惡行為的受害者，以隱私泄露指責臉書公司是有失公允的。

但這并不意味著臉書公司在本次事件中可以推卸責任超然事外。從制度建設的角度來說，由于軟件開發(fā)和數(shù)據(jù)收集使用是隨時可能發(fā)生的無法預見的行為，監(jiān)管從效率角度考慮還是要放在督促、約束大平臺上。中國的網(wǎng)絡安全法已經(jīng)確立了企業(yè)的網(wǎng)絡信息安全義務，但這個安全義務一般理解應是指企業(yè)對于信息的收集、使用和保存要符合完整性、保密性和可用性要求。而對于平臺企業(yè)以外的第三方軟件利用平臺收集信息、由此產(chǎn)生的對用戶的違約侵權行為，平臺企業(yè)要不要承擔責任呢?

目前國內(nèi)還沒有發(fā)生類似大平臺獲取信息后違法或侵權給平臺造成法律風險的案例。但中國網(wǎng)絡監(jiān)管話語體系中的“主體責任”其實是可以解決這個問題的。雖然這不是一個法律剛性概念，但“是誰的孩子由誰抱”，很多時候不失為解決問題的一個辦法。

在北京法院判決的新浪微博起訴脈脈擅自獲取新浪微博用戶數(shù)據(jù)的反不正當競爭案件中，與美國法院判決hiQvs.linked-in一案不同，中國法院判決未經(jīng)許可讀取企業(yè)公開平臺數(shù)據(jù)構成不正當競爭并判決了200萬元人民幣的賠償。表明與美國一審法官認為的用戶信息公開平臺難以主張權利不同，中國法院認可平臺對于用戶信息享有權益。

同時，筆者建議，為防范類似事件，監(jiān)管制度應該確立平臺企業(yè)的信息安全保障義務。其實在2013年消費者權益保護法修改確立經(jīng)營者對于消費者人身財產(chǎn)安全的保障義務前后，筆者在一些會議場合就曾建議，對于消費者權益保護法的人身財產(chǎn)安全保障義務做擴充解釋，把消費者個人信息的安全保障納入進去。在電子商務法立法研究中，筆者建議確立電商企業(yè)的合理謹慎的注意義務，其中就應當包括網(wǎng)絡信息層面的內(nèi)容。筆者建議只能概括性表明合理謹慎的責任，這種具體注意的內(nèi)容不能列舉限制過死。由于技術和商業(yè)變化日新月異，注意義務要隨著情況變化而變化。

比如本次臉書暴露出第三方軟件對于平臺用戶信息進行濫用后，平臺企業(yè)就應采取技術和管理措施，對于第三方軟件尤其是那些平臺開放技術接口可以合法接入平臺的企業(yè)，必須進行信息安全的技術和法律手段管控，以避免類似事件再次發(fā)生。

當然，注意義務不能太高，事后諸葛亮容易，在2014年讓臉書預見到劍橋分析今后會濫用數(shù)據(jù)是過于苛刻的，但采取法律與技術措施防范利用平臺獲取大量數(shù)據(jù)濫用則是可行的，也是必要的。

本次臉書卷入網(wǎng)絡公共危機代人受過的教訓再一次表明，產(chǎn)品設計的法律合規(guī)，用戶隱私安全責任應當深入企業(yè)從技術到管理所有人員，而不能僅僅停留在隱私政策紙面上。即使企業(yè)本身不違法，發(fā)生濫用平臺服務的隱私違法行為，用戶照樣會聲討追責。

雖然媒體稱臉書可能面臨天文數(shù)字罰款，但眼下這個事件如果沒有更進一步爆料出來，對于相關企業(yè)可能無非罰款訴訟之類，尚難言產(chǎn)生傷筋動骨的風險。但這次事件對于同為全球網(wǎng)絡巨頭的其他企業(yè)而言，不可不予以警惕。